El blog de Skysnag

Sin categoría

Identificar y salvaguardar la información personal identificable

11 de octubre de 2023  |  5 min leer

¿Qué significa PII?

PII son las siglas en inglés de información personal identificable. Se trata de información que puede utilizarse para identificar a una persona, como su nombre, dirección o número de la Seguridad Social. Cualquier información que pueda utilizarse para distinguir a una persona de otra puede considerarse IIP.

La IIP puede definirse de diferentes maneras, pero normalmente se refiere a la información que podría utilizarse para determinar un individuo, ya sea por sí sola o en combinación con otra información.

El Departamento de Energía define la IIP como cualquier información recopilada o conservada por el departamento sobre un individuo que pueda utilizarse para distinguir o rastrear su identidad. Esta información puede incluir el nombre de una persona, su número de la Seguridad Social, su fecha y lugar de nacimiento, datos biométricos y otra información personal vinculada o vinculable a un individuo concreto. La Administración de Servicios Generales de EE.UU. señala que la IIP puede volverse más sensible cuando se combina con otra información de acceso público.

La IIP puede incluir desde el nombre y la dirección de una persona hasta sus datos biométricos, historial médico o transacciones financieras. Para que se considere IIP, los datos deben poder utilizarse para distinguir o rastrear la identidad de una persona. La definición de IIP puede variar de una jurisdicción a otra, pero normalmente incluye cualquier información que pueda utilizarse para identificar a una persona. 

Información PII no sensible y sensible

La IIP puede ser sensible o no sensible.

Información confidencial

La IIP sensible es información que puede utilizarse para identificar a una persona y que podría perjudicarla si cayera en las manos equivocadas. Esto incluye información como números de la Seguridad Social, información financiera e historiales médicos.

IIP no sensible

La IIP no sensible es información que puede utilizarse para identificar a una persona, pero que no es probable que se utilice para perjudicarla si cae en las manos equivocadas. Esto incluye información como nombres y direcciones.

La IIP puede recopilarse mediante una combinación de métodos, como formularios en línea, encuestas y redes sociales. Es fundamental proteger la IIP y recopilar únicamente la información esencial. A la hora de recopilar la IIP, las organizaciones deben contar con un plan sobre cómo se utilizará, almacenará y protegerá la información.

Información personal identificable Ejemplos

Los siguientes son algunos ejemplos de información que puede considerarse IIP:

  • Nombre
  • Dirección
  • Número de la Seguridad Social
  • Fecha de nacimiento
  • Número del permiso de conducir
  • Información financiera
  • Historial médico
  • Dirección de correo electrónico
  • Dirección I.P.

VIOLACIONES DE DATOS PII

Varios comercios, instituciones financieras, organizaciones sanitarias y organismos federales, como el Departamento de Seguridad Nacional (DHS), han sufrido filtraciones de datos que han puesto en peligro la información personal de las personas, dejándolas potencialmente vulnerables a la usurpación de identidad.

La PII puede utilizarse para cometer robos de identidad de varias maneras. Los ladrones pueden utilizarla para abrir nuevas cuentas, solicitar préstamos o realizar compras en su nombre. También pueden utilizarla para cometer fraudes u otros delitos.

Los ladrones de identidad siempre están buscando nuevas formas de acceder a la información personal de la gente. La información que buscan cambiará en función de lo que intenten hacer con ella. Por ejemplo, pueden necesitar información diferente para abrir una cuenta bancaria que para presentar una reclamación fraudulenta al seguro.

En algunos casos, sólo necesitan una dirección de correo electrónico. En otros, pueden necesitar un nombre, una dirección, una fecha de nacimiento, un número de la Seguridad Social u otra información. Algunas cuentas pueden abrirse incluso por teléfono o Internet.

Además, archivos físicos como facturas, recibos, certificados de nacimiento, tarjetas de la Seguridad Social o información sobre contratos de alquiler pueden ser robados si se asalta la casa de una persona. Los ladrones pueden vender esta información para lucrarse. O pueden utilizarla ellos mismos sin conocimiento de la víctima. Por ejemplo, puede que no utilicen la tarjeta de crédito de la víctima, pero que abran cuentas nuevas y separadas utilizando la información de la víctima.

Legislación y normativa sobre IPI

La IIP está regulada por una serie de leyes y reglamentos, como la Ley Gramm-Leach-Bliley, la Ley de Información Crediticia Justa y la Ley de Portabilidad y Responsabilidad de los Seguros Médicos.

La Ley de Privacidad de 1974 es una ley federal que establece normas para la recogida, uso y divulgación de la IIP por parte de las agencias federales. La ley exige que los organismos federales notifiquen a las personas su derecho a acceder a su IIP y corregirla, y establece sanciones por el uso indebido de la IIP.

La Ley de Libertad de Información (FOIA) es una ley federal que otorga a los particulares el derecho a acceder a determinados documentos públicos. La ley exige que los organismos federales pongan sus registros a disposición del público a menos que estén protegidos por una de las excepciones de la ley.

La Ley de Derechos Educativos y Privacidad de la Familia (FERPA) es una ley federal que protege la privacidad de los expedientes educativos de los estudiantes. La ley exige que las escuelas den a los padres y a los alumnos la oportunidad de inspeccionar y corregir sus registros educativos y limita la divulgación de los registros educativos sin consentimiento.

La Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA) es una ley federal que protege la privacidad de la información sanitaria. La ley exige que las entidades cubiertas tomen medidas razonables para salvaguardar la confidencialidad de la información sanitaria protegida y limita la divulgación de información sanitaria protegida sin consentimiento.

GDPR IIP

El RGPD sustituye a la Directiva de Protección de Datos de 1995 (95/46/C.E.), que se introdujo para proteger los derechos de los europeos con respecto a sus datos personales. Establece las normas para la recogida y el tratamiento de información de identificación personal (IIP) por parte de particulares, empresas u otras organizaciones que operan en la UE.

El Reglamento se aplica a cualquier empresa que procese los datos personales de personas físicas en la UE, independientemente de si la empresa tiene su sede dentro o fuera de la UE. Esto incluye a las empresas con sede en los EE.UU. que procesan los datos de ciudadanos de la UE, incluso si esos ciudadanos no están físicamente presentes en la UE. El RGPD exige a las empresas obtener el permiso explícito de las personas físicas antes de recopilar, utilizar o compartir sus datos personales. Las empresas están obligadas a informar a las personas sobre sus derechos en virtud del RGPD y a garantizar que puedan ejercerlos fácilmente.

El RGPD impone importantes multas a las empresas que infrinjan sus disposiciones, que pueden llegar hasta el 4% de los ingresos anuales globales de una empresa o 20 millones de euros. (el mayor de los dos)si es mayor. El Reglamento también otorga a las personas físicas el derecho a presentar una reclamación ante la autoridad de control si consideran que se han vulnerado sus derechos.

Las mejores prácticas para salvaguardar la IIP

  • Cifrado de todos los datos de identificación personal en tránsito y en reposo
  • Almacenamiento de datos de identificación personal en una base de datos segura
  • Restringir el acceso a los datos de identificación personal sólo a quienes lo necesiten.
  • Garantizar que todos los datos de identificación personal sean exactos y estén actualizados.
  • Destruir los datos PII cuando ya no se necesiten

PII PHI PCI ¿Cuál es la diferencia?

Información personal identificable

PII afecta en última instancia a todas las organizaciones, de todos los tamaños y tipos. La PII es cualquier información que pueda utilizarse para identificar a una persona, como su nombre, dirección, fecha de nacimiento, número de la seguridad social, etc. Una vez que se tiene un conjunto de PII, no sólo se puede vender en la dark web, sino que también se puede utilizar para llevar a cabo otros ataques. Estos ataques muestran cómo los ciberdelincuentes pueden utilizar la IIP robada para llevar a cabo otros ataques contra organizaciones. Las filtraciones de Office of Personnel Management y Anthem son ejemplos de esto, donde se tomaron millones de datos de identificación personal y luego se utilizaron para atacar a otras organizaciones como el IRS.

Información sanitaria protegida

PHI es uno de los datos más buscados por los ciberdelincuentes. Comprende multitud de información. La PHI está definida por la Ley de Portabilidad y Responsabilidad de los Seguros Médicos (HIPAA) y se compone de cualquier dato que pueda utilizarse para asociar la identidad de una persona con su atención sanitaria. Aquí puede consultar una lista completa de los 18 identificadores que componen la PHI.

La PHI es un activo valioso y se vende en la red oscura por más dinero que cualquier otro conjunto de datos, según Ponemon Institute. En cuanto a la protección de la PHI, la HIPAA y la Ley de Tecnología de la Información Sanitaria para la Salud Económica y Clínica (HITECH) ofrecen directrices para la protección de la PHI. Dentro de la HIPAA están la "norma de privacidad" y sus subconjuntos, la "norma de seguridad", la "norma de aplicación" y la "norma de notificación de infracciones", que tratan todos ellos de diversos aspectos de la protección de la PHI.

Norma de seguridad de datos del sector de las tarjetas de pago

PCI-DSS es un conjunto de normas de seguridad creadas para proteger los datos de los titulares de tarjetas. Cualquier organización que procese, almacene o transmita datos de titulares de tarjetas debe cumplir estas normas. El cumplimiento de la PCI incluye asumir la responsabilidad de garantizar que los datos financieros estén protegidos en todas las etapas, incluidas las de aceptación, transferencia, almacenamiento y procesamiento.

Conclusión

El software automatizado de Skysnag protege la reputación de su dominio y mantiene a su empresa alejada de correos electrónicos comerciales comprometidos, robos de contraseñas y pérdidas financieras potencialmente significativas. Desbloquee información, evite los problemas de configuración de autenticación de correo electrónico, incluidos SPF y DKIM, y proteja su dominio de la suplantación de identidad con la estricta DMARC enforcement, todo ello de forma autónoma con Skysnag. Comience con Skysnag y regístrese utilizando este enlace para obtener una prueba gratuita hoy mismo.

Compruebe el cumplimiento de la seguridad DMARC de su dominio

Aplique DMARC, SPF y DKIM en días, no en meses

Skysnag ayuda a los atareados ingenieros a aplicar DMARC, responde a cualquier error de configuración de SPF o DKIM, lo que aumenta la capacidad de entrega del correo electrónico, y elimina la suplantación de identidades y el spoofing del correo electrónico.